Downloader

Downloader

網絡病毒
Downloader.Admincash是一個特洛伊木馬程序,它感染Windows系統中安全設置較低的Explorer.exe,同時下載Adware和撥号器。病毒運行後,會複制自身到每個盤的根目錄,文件名為“command.com”,然後修改“autorun.inf”文件,這樣會大大增加病毒的運行機會。[1]
  • 中文名:Downloader
  • 外文名:
  • 适用領域:計算機
  • 所屬學科:
  • 類型:特洛伊木馬程序
  • 中毒症狀:創建如下互斥實例
  • 運行系統:Windows

病毒簡介

【病毒名稱】Downloader

【病毒類型】綁架你的浏覽器

中毒特征

【中毒症狀】

當Downloader.Admincash運行時,它執行以下操作:

創建如下互斥實例,以确保同時隻有一個木馬運行:

BeavisMutex

ButtheadMutex

将自身拷貝為%System%soft.exe和%System%[随機生成文件名].exe

提示:%System%是系統目錄變量,默認情況下它是C:WindowsSystem(Windows 95/98/Me),C:WinntSystem32(Windows NT/2000),或C:WindowsSystem32(Windows XP).

創建如下注冊表項:

HKEY_CURRENT_USERSoftwareMicrosoftActive SetupInstalled Components

HKEY_LOCAL_MACHINESoftwareMicrosoftActive SetupInstalled Components

将下述鍵值:

"Web Service"="%System%[random file name].exe"

添加到如下注冊表項:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionrun

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionrun

添加注冊表鍵值

"run"="%System%soft.exe"

到:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionWindows

HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NT

CurrentVersionWindows

添加注冊表鍵值:

"DisableSR"="0x00000001"

到:

HKEY_CURRENT_USERSOFTWAREMicrosoftWindows NT

CurrentVersionSystemRestore

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NT

CurrentVersionSystemRestore

添加鍵值:

"EnableFirewall"="0x00000001"

到注冊表項:

HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoft

WindowsFirewallDomainProfile

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft

WindowsFirewallDomainProfile

HKEY_CURRENT_USERSOFTWAREPoliciesMicrosoft

WindowsFirewallStandardProfile

HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoft

WindowsFirewallStandardProfile

以用于禁用Windows的WindowsFirewall。

添加鍵值:

"NoAutoUpdate"="0x00000001"

"AUOptions"="0x00000001"

到注冊表項:

HKEY_CURRENT_USERSoftwarePoliciesMicrosoft

WindowsWindowsUpdateAU

HKEY_LOCAL_MACHINESoftwarePoliciesMicrosoft

WindowsWindowsUpdateAU

以禁用Windows的自動更新。

添加注冊表鍵值:

"FirewallDisableNotify"="0x00000001"

"UpdatesDisableNotify"="0x00000001"

"AntiVirusDisableNotify"="0x00000001"

到注冊表項:

HKEY_CURRENT_USERSOFTWAREMicrosoft

Security Center

HKEY_LOCAL_MACHINESOFTWAREMicrosoft

Security Center

将安全中心的三項設置均設為禁用

創建如下文件:

%Windir%explorer.new

%Windir%wininit.ini

提示:%Windir%表示Windows安裝目錄,默認情況下是C:Windows 或 C:Winnt.

感染%Windir%explorer.exe文件。

病毒解決辦法

操作步驟如下:

1.當打開網頁的時候symantec會彈出對話框,病毒名為"downloader"。

2.雙際病毒名,彈出對話框對話框内有病毒地址:C:Documents and SettingstimeLocal SettingsTemporary Internet FilesContent.IE5

3.進入該目錄,删除目錄中所有文件,如果這個電腦沒有中病毒,所有文件都可以删除掉,當中病毒後有幾個文件無法删除.無法删除的文件就是所要找的病毒。

4.下載此軟件名為"Unlocker.rar"

5.删除後打開網頁。該文件夾内會自動生成7-8個文件,再次删除所有文件.如果沒有提示不可删除文件提示窗口,這樣就成功一半了。

6.以上隻是第一步,第二步,使用360衛士等清理工具,進行注冊表的修複,因downloader病毒會自動修改注冊表内的信息.所以要進行修複。

7.再次打開網頁,進行重複刷新.沒有出現symantec窗口,證明徹底删除了病毒。

相關詞條

相關搜索

其它詞條